※ 引述《kadok (暗夜流星)》之銘言:
: chroot 的service被入侵後,有什麼不同?
: 很多service建議做chroot處理
: 那麼這樣的處理
: 在防止被入侵
: 但,如果chroot後,還被入侵,那會發生什麼事?
chroot 如果真的被入侵
人侵者也是可以真的取得 root 權限喔
這個權限和在 chroot jail 以外的 root 是一樣的
它很強,它可以 change root 回來
所以 chroot 其實不是這麼安全
一般會搭配其它措施來防止被拿到 chroot jail 裡的 root
比如把chroot jail裡的檔案系統掛載成read only
而可以寫入的部分掛載成 noexec
不過 chroot 最大的功用應該還是 "乾淨" 吧
不僅隔離了檔案系統的存取
chroot jail 裡也只有非常少的程式可用
如果 chroot jail 沒有 bash
沒有 sshd 沒有 gcc .... 要攻擊會變得很難
想上傳執行檔? 抱歉,檔案系統 read only
處理的好的話,就只剩下核心可能有bug而已
--
: chroot 的service被入侵後,有什麼不同?
: 很多service建議做chroot處理
: 那麼這樣的處理
: 在防止被入侵
: 但,如果chroot後,還被入侵,那會發生什麼事?
chroot 如果真的被入侵
人侵者也是可以真的取得 root 權限喔
這個權限和在 chroot jail 以外的 root 是一樣的
它很強,它可以 change root 回來
所以 chroot 其實不是這麼安全
一般會搭配其它措施來防止被拿到 chroot jail 裡的 root
比如把chroot jail裡的檔案系統掛載成read only
而可以寫入的部分掛載成 noexec
不過 chroot 最大的功用應該還是 "乾淨" 吧
不僅隔離了檔案系統的存取
chroot jail 裡也只有非常少的程式可用
如果 chroot jail 沒有 bash
沒有 sshd 沒有 gcc .... 要攻擊會變得很難
想上傳執行檔? 抱歉,檔案系統 read only
處理的好的話,就只剩下核心可能有bug而已
--
All Comments